RSS-каналы
Уровень опасности: 1
Главная→Блог→Новости→12 мар 2010→Налет на российские владения «громовержца»
Налет на российские владения «громовержца»
Блогер
опубликовано 12 мар 2010, 17:33 MSK
Сюжеты: Статистика по зловредам, Ботнеты, ZeuS
Двое суток сторонники безопасного интернета наблюдают игру в «кошки-мышки», где главным призом является сотня головных серверов ZeuS, размещенных в Рунете.
9-го марта швейцарские эксперты из ZeuS Tracker, отслеживающие деятельность этого троянца (Trojan-Spy.Win32.Zbot), с удивлением обнаружили, что количество действующих центров управления ботнетами сократилось более чем на треть. Соответственно снизилась и общая активность троянца в Сети: ведь каждый командный сервер ZeuS поддерживает связь с 20-50 тыс. зараженных машин. Среди ушедших в оффлайн командиров был и тот, что помог злоумышленникам обокрасть работяг в штате Кентукки. А со страницы текущей статистики ZeuS Tracker также исчезли шесть российских и украинских хостинг-провайдеров, в сетях которых были размещены эти серверы.
Как позже выяснилось, группа экспертов по интернет-безопасности убедила москвичей – телеоператора «Айхоум» и владельцев нового дата-центра «Оверсан-Меркурий» – отключить интернет-провайдера Troyak, услугами которого, в числе прочих, пользовались 6 упомянутых выше хостинг-провайдеров. Однако на следующий день Troyak нашел нового телеоператора, а когда спустя некоторое время ему и здесь отказали, обратился в RTComm. К вечеру 11-го марта активисты ZeuS Tracker отметили, что большинство отключенных серверов, управляющих троянцем, опять в строю. Это означает, что злоумышленники получили возможность перенести информацию, украденную ZeuS, на более безопасный ресурс и создать резервный центр управления, обновив боты.
Сама компания Troyak в лице некоего Романа Старченко из Казахстана заявила, что временное отсутствие связи с интернетом было вызвано задолженностью администрации по оплате услуг. Организация числится в базе данных WhoIs с ноября 2007 года, а в конце 2009-го зарегистрировала (через Старченко) домен TroyAk.org. Возможно, это простое совпадение, но оформляла домен небезызвестная индийская компания Directi – аккредитованный в ICANN регистратор, пользующийся большой популярностью у спамеров.
Update: утром 12-го марта Troyak был вынужден вновь поменять телеоператора и теперь связан с интернетом через московскую городскую сеть ЭНЛАИН.
12 мар 2010, 19:04
А что это за группа экспертов такая? Народ должен знать своих героев. ;) |
|
1 |
Re: что за группа экспертов ?
Vnunet и ComputerWorld (см. ссылки) пишут, что инициаторы противостояния пожелали сохранить анонимность.
|
0 |
Re: Re: что за группа экспертов ?
Я и забыл, что у вас ссылки на сайдбаре. Спасибо, почитаю.
|
0 |
Re: Народ должен знать своих героев. ;)
Одно имя-таки просочилось - это Cisco, если верить BBC http://news.bbc.co.uk/2/hi/technology/8570993.stm.
|
0 |
Re: Re: Народ должен знать своих героев. ;)
Что-то там мутновато с этим Cisco. Я немного погуглил - похоже, Cisco упоминается просто как компания, которой принадлежит ScanSafe, а ScanSafe - только потому, что цитируется её сотрудник, который дал комментарии по поводу отключения Troyak. Но, может, я и не нашёл чего-то важного.
|
19 мар 2010, 11:21
Кстати, ещё одного провайдера чикнули: http://www.abuse.ch/?p=2496 |
|
0 |
Re:
Спасибо, попытаюсь свести воедино все последние события. Видели, наверное, RSA нарыла целый bulletproof-заговор в Рунете - http://www.rsa.com/blog/blog_entry.aspx?id=1610.
Имена отследить, я так понимаю, недолго. А вот добыть доказательства злого умысла тяжелее, тут нужен многолетний мониторинг, как у Данчева - http://ddanchev.blogspot.com/2010/03/scareware-sinowal-client-side-exploits.html.
исправлено: Татьяна Никитина, 19 мар 2010, 13:58
|
1 |
Re: Re:
Да, хитрая система. Ещё одну любопытную ссылочку нарыл - кто-то (имя вымышленное) начал за этим делом следить и отчитываться: http://twitter.com/asn_tracking
А владелец Troyak таки, похоже, не в Казахстане, а в Киеве сидит (хорошо иметь доступ к истории WHOIS, однако): http://www.krebsonsecurity.com/2010/03/researchers-map-multi-network-cybercrime-infrastructure/#comment-4231
|
1 |
Re: любопытную ссылочку нарыл
Спасибо, Игорь, я не возвращалась к посту Кребса с момента появления первых комментов и упустила прелюбопытные вещи.
Уверена: если заняться раскопками вплотную, много ценного можно найти. Жаль, времени не хватает на все это, интернет кипит событиями, только успевай голос подавать :)
Кстати, рекомендую взять на заметку ресурс американских академиков, о котором Кребс писал на TechnologyReview, - http://maliciousnetworks.org/index.php. Там сводная таблица всех самых-самых "плохишей" интернета.
|
0 |
Re: Re: любопытную ссылочку нарыл
Я бы и сам не возвратился к посту Кребса, наверное, если бы сразу его прочитал. Но я его отложил "на потом", потому что не было времени, а это "потом" случилось только дня через три. ;)
Спасибо за ссылку, пригодится.
Ссылки по теме
Также в аналитике
В блоге
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей